Licht an, Whirlpool aus: Smart-Home-Hacking
Bei der BlackHat-Konferenz widmen sich mehrere Vortragende dem Thema (un)sichere Heimautomation. Eine Journalistin von Forbes versuchte sich ebenfalls im Home-Hacking - und hatte bei acht "Smart-Homes" Erfolg.
Das Manipulieren von Smart-Homes beziehungsweise aus der Ferne steuerbarer Heimgeräte gerät immer mehr in den Fokus von Sicherheitsforschern. Bei der Blackhat-Konferenz thematisieren mehrere Teams speziell die Gefahren der automatisierten Heimsteuerung. Sie behaupten etwa, dass sie Wasserpumpen, Whirlpools, Heizungsanlagen, Lichter, Fernseher, Garagentore, Kameras und weitere Geräte über das Internet oder per Funk aus der Ferne steuern können. Eine Journalistin des Forbes Magazin schaffte es auf eigene Faust einige der Beispiele zu reproduzieren und über das Internet acht Smart-Homes anzugreifen.
Das Trustwave-Team untersucht unter anderem Geräte der Firma Insteon. Um diese Geräte zu steuern, benötigen Nutzer eine App oder erhalten Zugriff über den Desktop-Browser. Wie Teammitglied David Bryan feststellte, gab es zunächst keinen Authentifizierungsvorgang zwischen App und den zu steuernden Geräten. Mittlerweile habe Insteon zwar nachgerüstet, aber auch die neueren Geräte mit Authentifizierung bieten laut Bryan kaum Schutz – die Authentifizierung sei zu leicht zu knacken. Außerdem zwingen die Systeme von Insteon die Nutzer generell nicht dazu einen Nutzernamen oder ein Passwort zu vergeben.
Kashmir Hill von Forbes konnte während ihrer Recherche über eine Suchmaschine selbst acht Smart-Homes mit Insteon-Technik im Internet entdecken. Die Informationen, die sie über die Geräte im Internet erhielt, waren teils sensibel. So konnte sie etwa einen Kindernamen erfahren, der für ein TV-Gerät, vermutlich im Kinderzimmer, gesetzt war. Bei drei Häusern konnten die im Internet gewonnen Informationen dazu genutzt werden, die Adressen der Häuser ausfindig zu machen. In einem Fall enthielten die Daten sogar eine Adresse. Wie Hill später erfuhr, war diese wohl angegeben worden, da das Haus einem Insteon-Mitarbeiter gehörte, der dieses auch für Werbezwecke nutzen wollte.
Insteon IT-Chef Mike Nunes erklärte gegenüber der Journalistin, dass die Geräte, die im Internet zu sehen seien, aus einer alten, nicht mehr aufgelegten Serie stammten. Außerdem sei das Erscheinen der Geräte in Suchmaschinen auf Nutzerfehler zurückzuführen. In der Gebrauchsanweisung von Insteon-Produkten würde mit Nachdruck darauf hingewiesen, dass Nutzer einen Nutzernamen und ein Passwort vergeben sollen. (kbe)